Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en los caracteres especiales en la página de configuración del servidor web en múltiples dispositivos RUGGEDCOM ROS (CVE-2021-37208)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
08/03/2022
Última modificación:
12/08/2025

Descripción

Se ha identificado una vulnerabilidad en RUGGEDCOM ROS M2100 (Todas las versiones), RUGGEDCOM ROS M2200 (Todas las versiones), RUGGEDCOM ROS M969 (Todas las versiones), RUGGEDCOM ROS RMC (Todas las versiones), RUGGEDCOM ROS RMC20 (Todas las versiones), RUGGEDCOM ROS RMC30 (Todas las versiones), RUGGEDCOM ROS RMC40 (Todas las versiones), RUGGEDCOM ROS RMC41 (Todas las versiones), RUGGEDCOM ROS RMC8388 (Todas las versiones anteriores a la versión V5. 6. 0), RUGGEDCOM ROS RP110 (Todas las versiones), RUGGEDCOM ROS RS400 (Todas las versiones), RUGGEDCOM ROS RS401 (Todas las versiones), RUGGEDCOM ROS RS416 (Todas las versiones), RUGGEDCOM ROS RS416v2 (Todas las versiones anteriores a la versión V5.6. 0), RUGGEDCOM ROS RS8000 (Todas las versiones), RUGGEDCOM ROS RS8000A (Todas las versiones), RUGGEDCOM ROS RS8000H (Todas las versiones), RUGGEDCOM ROS RS8000T (Todas las versiones), RUGGEDCOM ROS RS900 (32M) (Todas las versiones anteriores a la versión V5. 6.0), RUGGEDCOM ROS RS900G (Todas las versiones), RUGGEDCOM ROS RS900G (32M) (Todas las versiones anteriores a la versión V5.6. 0), RUGGEDCOM ROS RS900GP (Todas las versiones), RUGGEDCOM ROS RS900L (Todas las versiones), RUGGEDCOM ROS RS900W (Todas las versiones), RUGGEDCOM ROS RS910 (Todas las versiones), RUGGEDCOM ROS RS910L (Todas las versiones), RUGGEDCOM ROS RS910W (Todas las versiones), RUGGEDCOM ROS RS920L (Todas las versiones), RUGGEDCOM ROS RS920W (Todas las versiones), RUGGEDCOM ROS RS930L (Todas las versiones), RUGGEDCOM ROS RS930W (Todas las versiones), RUGGEDCOM ROS RS940G (Todas las versiones), RUGGEDCOM ROS RS969 (Todas las versiones), RUGGEDCOM ROS RSG2100 (Todas las versiones), RUGGEDCOM ROS RSG2100 (32M) (Todas las versiones anteriores a la versión V5. 6.0), RUGGEDCOM ROS RSG2100P (Todas las versiones), RUGGEDCOM ROS RSG2200 (Todas las versiones), RUGGEDCOM ROS RSG2288 (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSG2300 (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSG2300P (Todas las versiones anteriores a la versión V5.6. 0), RUGGEDCOM ROS RSG2488 (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSG907R (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSG908C (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSG909R (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSG910C (Todas las versiones anteriores a la versión V5. 6.0), RUGGEDCOM ROS RSG920P (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RSL910 (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RST2228 (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RST2228P (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS RST916C (Todas las versiones anteriores a la versión V5. 6.0), RUGGEDCOM ROS RST916P (Todas las versiones anteriores a la versión V5.6.0), RUGGEDCOM ROS i800 (Todas las versiones), RUGGEDCOM ROS i801 (Todas las versiones), RUGGEDCOM ROS i802 (Todas las versiones), RUGGEDCOM ROS i803 (Todas las versiones). La neutralización inadecuada de caracteres especiales en la página de configuración del servidor web podría permitir a un atacante, en una posición privilegiada, recuperar información sensible a través de cross-site scripting

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.60 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Vector 2.0
AV:N/AC:M/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
3.50
Gravedad 2.0
BAJA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:siemens:ruggedcom_ros:*:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_i800:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_i801:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_i802:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_i803:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_m2100:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_m2200:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_m969:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rmc:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rmc20:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rmc30:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rmc40:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rmc41:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rp110:-:*:*:*:*:*:*:*
cpe:2.3:h:siemens:ruggedcom_rs400:-:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información